AI Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Compliance-platform Samenwerken LinkedIn NL·EN·DE
Analyse

DPIA voor HR-AI: wanneer verplicht en hoe combineer je het met de FRIA?

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

Een DPIA (art. 35 AVG) is verplicht bij grootschalig, systematisch monitoren en bij hoog-risico-AI in HR. Dit artikel legt uit wat erin moet en hoe je de DPIA combineert met de FRIA (grondrechtentoets, art. 27 AI Act) tot één traject. Met praktisch stappenplan.

Kort antwoord: Een gegevensbeschermingseffectbeoordeling (DPIA) is op grond van artikel 35 AVG verplicht zodra een HR-AI-toepassing waarschijnlijk een hoog risico voor betrokkenen oplevert — bij grootschalig of systematisch monitoren en bij hoog-risico-AI vrijwel altijd. Voor diezelfde toepassingen schrijft de AI Act in artikel 27 een grondrechtentoets (FRIA) voor. Doe ze niet apart maar als één gecombineerd traject: ze overlappen sterk en leveren samen één onderbouwd dossier op.

Wanneer is een DPIA verplicht?

Artikel 35 AVG verplicht een DPIA bij verwerkingen die "waarschijnlijk een hoog risico" inhouden. In HR is dat snel het geval, met name bij:

  • Systematische en uitgebreide beoordeling van persoonlijke aspecten, inclusief profilering, waarop besluiten worden gebaseerd.
  • Grootschalige verwerking van bijzondere categorieën gegevens.
  • Stelselmatige monitoring van werknemers.

Een AI-systeem dat prestaties scoort, gedrag voorspelt of toegang reguleert, valt vrijwel altijd onder ten minste één van deze criteria.

Wat moet erin?

De DPIA bevat minimaal: een systematische beschrijving van de verwerking en de doeleinden; een beoordeling van noodzaak en proportionaliteit; een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen; en de beoogde maatregelen om die risico's te beheersen. Blijft een hoog restrisico bestaan, dan volgt voorafgaande raadpleging van de toezichthouder (art. 36).

De samenloop met de FRIA

Voor hoog-risico-AI eist artikel 27 AI Act dat bepaalde gebruikers — waaronder publieke instanties en aanbieders van essentiële diensten — vóór ingebruikname een effectbeoordeling voor de grondrechten (FRIA) uitvoeren. Die kijkt breder dan alleen gegevensbescherming: naar non-discriminatie, menselijke waardigheid en andere grondrechten. De AI Act bepaalt uitdrukkelijk dat waar al een DPIA is gedaan, de FRIA daarop voortbouwt. Lees de inhoud van de toets na in de FRIA: grondrechtentoets onder artikel 27.

Eén gecombineerd traject

Omdat DPIA en FRIA dezelfde toepassing, dezelfde risico's en grotendeels dezelfde maatregelen beschrijven, is het inefficiënt en verwarrend om twee losse documenten te maken. Voer één beoordeling uit die beide wettelijke eisen afdekt: de AVG-laag (gegevensbescherming) en de AI Act-laag (grondrechten breder). Stem dit af met de andere hoog-risicoverplichtingen, zodat de beoordeling in de bredere compliance past.

Praktisch stappenplan

  1. Bepaal de noodzaak: is dit grootschalig/systematisch monitoren of hoog-risico-AI? Zo ja, DPIA verplicht en mogelijk ook FRIA.
  2. Beschrijf de verwerking: gegevens, doelen, AI-logica, betrokkenen, bewaartermijnen.
  3. Toets noodzaak en proportionaliteit: is er een minder ingrijpend alternatief?
  4. Beoordeel de risico's voor privacy én bredere grondrechten (discriminatie, autonomie).
  5. Bepaal maatregelen: menselijk toezicht, bias-controle, transparantie, dataminimalisatie.
  6. Borg de AVG-basis en de transparantie richting werknemers; zie AVG en personeelsgegevens bij AI.
  7. Raadpleeg de toezichthouder bij een resterend hoog risico, en herhaal de beoordeling bij wijzigingen.

Eén goed gecombineerd DPIA/FRIA-traject is geen papieren plicht maar de plek waar je de echte risico's van HR-AI op tafel krijgt — vóórdat het systeem in productie gaat.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordening (EU) 2016/679 (AVG): art. 35 (gegevensbeschermingseffectbeoordeling) en art. 36 (voorafgaande raadpleging).
  2. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act): art. 27 (effectbeoordeling grondrechten, FRIA).

Deel op LinkedIn

Lees ook

W

AI op de werkvloer: de wegwijzer voor werkgevers en HR

AI in werving, personeelsbeheer en monitoring valt grotendeels onder de AI Act (bijlage III, hoog-risico) en de AVG, met één hard verbod: emotieherkenning op het werk. Deze wegwijzer bundelt wat voor werkgevers geldt en waar je begint.

U

AI bij werving en HR: wat moet elke werkgever weten?

AI in werving, selectie en personeelsbeheer valt onder bijlage III van de AI Act en geldt als hoog-risico — voor elke werkgever, ongeacht sector of omvang. Emotieherkenning op de werkvloer is verboden, AI-geletterdheid geldt nu, en de AVG loopt parallel bij geautomatiseerde besluiten.

U

FRIA: wanneer moet ik een grondrechtentoets doen (AI Act art. 27)?

Gebruik je hoog-risico-AI als publieke instantie, aanbieder van publieke diensten, of voor kredietwaardigheid of levens- en ziektekostenverzekering? Dan eist art. 27 AI Act vóór ingebruikname een grondrechteneffectbeoordeling (FRIA).

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.